企业在生产中部署的容器越来越多,但却忽略了安全问题…
近日,Dimensional Research for Tripwire 公布了一项 IT 安全专业人士调查报告,数据显示几乎一半企业遇到容器安全问题。在接受调查的 269 名 IT 专业人员中,46%不知道容器是否安全;47%承认容器在生产中存在漏洞。 总体而言,60%的受访者表示企业在过去一年经历过容器安全事故。
早前,绿盟研究人员就拉取过 Docker Hub 上公开热门的前十页镜像,使用 Docker 镜像安全扫描工具 Clair 进行 CVE 扫描统计,最终发现只有 24%的镜像不存在漏洞,67%的镜像甚至包含高危漏洞。
舆论层面,不少人认为容器最终会取代虚拟机,但其与虚拟机相比,最大的劣势之一就是安全问题,这也几乎体现在所有与容器相关的文章中,但似乎并没有引起企业的足够重视。容器相当于彼此隔离的进程,可以直接访问重要的命名空间,比如主机名、网络和共享内存。当然,这一点可以通过控制 root 用户有所缓解,但始终是个问题。
本次研究发现,94%的受访者承认担心容器安全问题,但苦于团队成员的容器安全知识不足,对容器和映像的安全状态可见性有限,以及在部署之前无法评估容器镜像中的风险。
国内,关于新兴技术的大部分研发人才集中在中大型互联网公司,尤其是顶尖技术人才。虽然这些公司占据着各个领域的大部分市场份额,但这类型的企业毕竟是少数。中小型企业由于薪水、平台、知名度等各种原因难以招收到专业人才,这也让其在容器安全方面心有余而力不足。
如今,容器越来越多地被部署到企业以支持 DevOps。根据 Tripwire 研究,超过 30%的受访者表示在生产环境中部署 10 到 100 个容器,19%的受访者表示生产环境中有 100 到 500 个容器。Tripwire 的产品经理和战略副总裁 Tim Erlin 表示,随着容器部署的增长和采用增加,企业正面临加快部署造成的压力。为了满足需求,团队只好暂时接受不保护容器带来的风险。
根据这项研究,大多数企业正在经历容器安全事故。正如 Computer Weekly 之前报道的那样,在生产中部署容器的企业也在部署漏洞扫描程序,以确保容器镜像不会受到损害。比如,使用流行的开源工具扫描容器镜像以查找已知漏洞。
除此之外,也有不少企业选择在云平台之上运行容器,这种情况下,一旦发生安全事故,企业和云供应商基本会采取责任共享机制,云供应商负责基础设施和管理云的安全性。客户负责保护在云中运行的所有内容,拥有对所有数据、应用程序和操作系统的完全所有权和控制权,因此这类企业同样需要注意容器安全问题。
参考文章:
活动推荐:
2023年9月3-5日,「QCon全球软件开发大会·北京站」 将在北京•富力万丽酒店举办。此次大会以「启航·AIGC软件工程变革」为主题,策划了大前端融合提效、大模型应用落地、面向 AI 的存储、AIGC 浪潮下的研发效能提升、LLMOps、异构算力、微服务架构治理、业务安全技术、构建未来软件的编程语言、FinOps 等近30个精彩专题。咨询购票可联系票务经理 18514549229(微信同手机号)。
评论